Prikaži glavni meni

Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke

Opisi virusa, 27.04.2026, 12:00 PM

Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima za sajber kriminal, donoseći promenu u načinu krađe podataka. Storm prikuplja podatke sačuvane u pregledaču, kao što su kredencijali za prijavu, kolačići sesije i informacije o kripto novčanicima, a zatim tajno prenosi podatke na servere koje kontrolišu napadači.

Za razliku od sličnih malvera, Storm ne pokušava da dešifruje podatke na samom uređaju. Umesto toga, prikuplja kriptovane podatke iz pregledača i šalje ih napadačima, pa se dešifrovanje obavlja van sistema žrtve.

Ovaj pristup dolazi kao odgovor na bezbednosne mehanizme poput App-Bound Encryption, koji je Google uveo u verziji 127 u julu 2024., koji otežava lokalno dešifrovanje podataka.

Stariji infostealeri pokušavali su da pristupe bazama podataka na uređaju, što je često bilo detektovano kao sumnjivo ponašanje. Međutim, Storm u potpunosti uklanja ove signale sumnjivog ponašanja. Podržava i Chromium i Gecko pregledače, uključujući Mozilla Firefox, čime proširuje domet napada .

Storm prikuplja sačuvane lozinke, kolačiće sesije, unose automatskog popunjavanja, tokene Google naloga, podatke o platnim karticama i istoriju pretraživanja. Ova kombinacija omogućava napadačima da rekonstruišu aktivne sesije i pristupe nalozima bez potrebe za lozinkom. U praksi, kompromitovan pregledač zaposlenog može otvoriti pristup SaaS platformama, internim sistemima i cloud okruženjima bez aktiviranja klasičnih bezbednosnih alarma .

Storm ide i korak dalje i automatizuje preuzimanje sesija. Nakon dešifrovanja, kredencijali i kolačići se pojavljuju u kontrolnoj tabli napadača. Korišćenjem validnih tokena i geografski uparenih proksija, napadači mogu neprimetno preuzeti aktivne sesije korisnika. Ovakav pristup potvrđuje trend u kojem krađa kolačića sesije postaje važnija od krađe lozinki.

Pored podataka iz pregledača, malver prikuplja i fajlove sa uređaja, podatke iz aplikacija poput Telegrama, Signala i Discorda, informacije o sistemu i snimke ekrana na više monitora. Takođe cilja kripto novčanike putem ekstenzija pregledača i desktop aplikacija. Većina operacija se izvršava u memoriji, što dodatno smanjuje mogućnost detekcije .

Infrastruktura je dizajnirana tako da operateri koriste sopstvene servere, čime se otežava gašenje celog sistema.

Storm podržava operacije sa više učesnika, omogućavajući timovima da podele odgovornosti kao što su pristup logovima, generisanje malvera i vraćanje sesija. Takođe automatski kategorizuje ukradene kredencijale prema servisu, sa vidljivim pravilima za platforme uključujući Google, Facebook, Twitter/X i cPanel, pomažući napadačima da daju prioritet ciljevima.

Storm se nudi kao malware-as-a-service model. Za sedmodnevni pristup potrebno je izdvojiti 300 dolara, 900 dolara mesečno ili 1.800 dolara za timsku licencu koja podržava do 100 operatera i 200 verzija.

Zanimljivo je da nakon implementacije malver nastavlja da radi čak i nakon isteka pretplate.

Storm pokazuje jasan pomak u razvoju infostealera — fokus se prebacuje sa lozinki na sesije i sa lokalne analize na daljinsku obradu podataka. Za napadače, to znači manje detekcije. Za korisnike, to znači da ni lozinke ni MFA više nisu dovoljna zaštita ako su sesije kompromitovane.